Périmètre de l'access review : ce qui est inclus, ce qui ne l'est pas

Tous les utilisateurs et tous les systèmes ne doivent pas figurer dans chaque review. Voici comment délimiter votre périmètre pour qu'il reste gérable et défendable en audit.

Définir le périmètre de la review est la première étape du processus de review. Une erreur ici signifie soit trop de travail, soit des éléments importants manqués.

Personnes dans le périmètre

• Collaborateurs actifs : toujours.
• Entrées planifiées : pas encore commencé, hors périmètre pour l'instant.
• Sorties planifiées : dans le périmètre — dernière vérification avant le départ.
• Inactifs depuis la review précédente : inclus une dernière fois pour vérifier que l'accès a bien été révoqué.
• Prestataires et parties externes : piste de review séparée avec son propre rythme (souvent mensuel).

Systèmes dans le périmètre

• Tous les systèmes tier-1 (critiques) : toujours.
• Tier-2 : inclus par défaut à chaque review.
• Tier-3 (SaaS secondaires) : tous les six mois, sauf raison particulière.

Documentez votre choix de périmètre

Intégrez la politique de périmètre dans votre ISMS. Pour chaque review : un instantané du périmètre indiquant ce qui était inclus. Un auditeur peut ainsi comparer les reviews entre elles et constater votre cohérence.

Voir aussi : revue par échantillon ou complète, inventaire SaaS.